Gartner日前为数字身份管理绘制了最新版成熟度曲线(Hype Cycle),通过研究该曲线上相关的趋势预测,可以更好地了解身份访问管理(IAM) 领域的未来技术发展。报告研究认为,由于网络威胁形势和隐私保护要求,企业安全领导人在确保数据得到保护的同时,必须尽快实现数字化时代的企业身份综合管理,而机器身份管理和物联网身份验证已经成为组织数字身份管理的新挑战。
图:Gartner 2022版数字身份成熟度曲线
本次报告重点强调了数字身份治理中的机器身份管理和物联网身份验证。机器身份是指确立数字设备访问及交易活动有效性的数字密钥、权证和证书等。机器身份管理(MIM)在2020年Gartner身份访问管理成熟度曲线中首次被提及,此后作为一项网络安全计划备受关注。
在本次发布的成熟度曲线中,研究人员认为机器身份管理技术仍处于概念炒作的泡沫期,虽然企业组织长期以来一直注重保护访问系统的人类用户的身份,但目前整体还缺乏在整个企业中实现机器身份管控的有效策略和技术手段:
一、机器身份威胁正在快速增长
“机器”的定义已变得相当广泛,不仅包括笔记本电脑和服务器等设备,还包括API组件、应用程序、云基础架构和容器等等。机器身份的数量目前与人类身份平均比例为10:1,并且还在继续增长。虽然确立数字身份的工具已相当成熟,但管理这些身份带来了相当大的挑战,手动管理时尤其困难重重。
二、机器身份需差异化管理
攻击者已经充分了解机器身份是企业中安全防护中的一大短板,这使得机器身份成为经常被利用的漏洞。针对机器身份漏洞的新恶意软件与日俱增,针对证书的恶意软件攻击数量也在不断增加。从2017年到2021年,这类攻击数量增长幅度超过400%;2020年,50%的云安全事件是由于机器身份和权限管理不善所引发的。Gartner在报告中表示,机器身份和传统人类身份在可观测性、所有权和自动化分配等方面存在明显差异。组织必须要尽快了解并认知这些差异,使用新型的身份识别技术手段,才能有效地实施机器身份管理战略。
三、物联网应用是机器身份管理的重要挑战
物联网产品为机器身份管理带来了全新的需求和挑战,将数字化基础设施建设模式引入到物联网应用流程中,可以生成实时生产数据,提醒操作员注意随时产生的维护需求,并持续性跟踪资产运营状态等。Gartner研究认为,物联网设备的广泛应用正带来新的威胁途径。可靠的机器身份管理策略则是防止物联网安全事件发生的基础性措施。这将有助于防止针对重要工业设备的攻击,避免灾难性事件及后果。
物联网领域在合规和审计方面都有着独特的需求和挑战。虽然目前公共事业管理部门在定义物联网身份验证方法方面取得了一定进展,但仍有大量工作要做。报告研究发现,大多数工业物联网(IIoT)系统都是独立的,通过使用原生方式进行身份验证。此外,由于某些物联网设备在资源或功能方面受限,计算能力低、安全存储容量有限,因此很多目前常见的身份验证方法不是很适合。Gartner建议,应尽快评估和制定支持物联网领域中各类设备的身份验证的新标准和技术框架。
四、机器身份管理需要支持性基础设施提供保障
不仅是种类和数量方面的挑战,不同组织和业务部门对智能机器设施也有着多样化的应用场景。这种广泛的使用模式需要一套集中的管理标准,让机器身份管理工作在整个组织范围内能够保持一致,同时允许部门以适合方式灵活地实施机器身份管理。在成熟度曲线报告中,提到了“先有鸡还是先有蛋”的问题,即“用户在观望相关机器身份管理标准是否会成为主流方式,而身份管理服务商却在观望用户的物联网系统是否会得到广泛地应用”。
报告建议,应该先确立身份发现流程,从而确定机器身份的整体相互依赖关系。一些新的机器身份管理平台和服务模型使组织更容易管理机器身份和公钥基础设施。这些集中式平台为整个企业的机身身份管理活动提供了一个决策中心,并为自动化管理奠定了基础。借助创新的技术工具,可以快速提升组织开展机器身份管理工作的效率。在过去,每个管理机器身份的业务部门都需要自己的证书颁发机构(CA),并设置专用的服务器。而现代机器身份管理平台可以在一台服务器上托管多个CA。这些产品预装了数据库和集成,让用户可以避免供应商膨胀(vendor bloat)。PKI服务产品让组织可以借助高效的SaaS订阅模型,完全外包机器身份管理工作。
五、为建设零信任安全奠定基础
开展零信任架构建设是企业安全领域的最新趋势。零信任是一种策略,而不是一种工具。为了在不阻碍业务流程的情况下启用这项策略,组织必须要部署有效地管理机器身份的架构和框架。因为在以身份为中心的安全模型构建中,人员和机器身份将是安全策略创建的核心,具有基于分配属性的访问控制和策略。在这种情况下,访问企业数据和资源的前提就是持续性验证请求用户或机器的身份及访问权限。
六、将机器身份管理“左移”
敏捷开发和DevOps流程正在大量使用,从安全的角度来看,这意味着更快的数字请求和应用速度,它们必须得到保护,又不能成为瓶颈。在早期阶段就让安全、测试和合规等方面的负责人参与系统设计项目,这种方法被称为DevSecOps。借助适当的工具,DevOps的关键原则(比如自动化)能够被扩展到安全和机器身份管理方面。